A magánélet biztosítása Szabad Szoftverekkel Varga Csaba Sándor guska@guska.hu "Ha a GNU elkészül, mindenki úgy kaphat majd jó rendszerszoftvert, mint levegőt"
Mit tekintünk kényes iratnak? - Mindent olyan adatot, amely nyilvánosságra kerülés esetén kellemetlen lehet pl: - e-mail/SMS/Log/Szerződés/hívásnapló/kényes házi videó Alapvető hozzáállás: - Nincs olyan titkosítási eljárás, amely bizonyos időn belül ne lenne visszafejthető. - Kombináljunk és használjuk ki a maximumot, minden új lehetőséget
Ne csak a dokumentumot védjük! - Védjük a médiát amire felkerül (Disk,Pen Drive,Flash,Dat,stb) - Védjük adatvesztés ellen, ha nem akarjuk megtudni, hol van a székháza a Kürt Kft -nek - A backup -is ugyan olyan veszélyes és védendő mint az eredeti anyag - Katasztrófa és rablás védelmi szempontokból tartsuk a telephelytől távol a mentést P: WTC / OEP - A mentéseink fabatkát sem érnek ha nincsenek kipróbálva és kontrolálva
Törvényes keretek - Európai jogrendszer: szabad mind a titkosítási algoritmusok, mind az adatok fölötti rendelkezést tekintve ( ! UK) - USA: A szabadság ára
Kezdjük a kályhánál! Titkosítsuk magát az adatkapcsolatot! Wifi ! - Két telephely között, vagy akár az otthoni és a munkahelyi gép között is építsünk ki VPN -t (pl: ipsec)
Böngésző – barát vagy ellenség cookie törlés kilépésnél No Script ! Addbolck+FilterG Https mindig ha lehet, de mindig nézzük meg a tanusítványt Show IP Kényes adatok törlése kilépésnél
Határ a kényelem és a biztonság között Gmail – a mindig kényelmes társ Google Calendar? Skype? - Chroot – Rootkit? Mic Off? VOIP hivások az interneten?
Biztonságos Chat Gaim - Pidgin Az összes létező protokoll támogatása: Msn/AOL/ICQ/JABBER/Gtalk/stb OFF The Record Plugin Gpg Plugin Gaim Encryption RSA kulcspárok Csevegés rögzítés ki/be Kiegészítő Hw kezelése pl: villogtatás
- Ha csak adatokat töltögetünk az otthoni és a munkahelyi gépre, akkor remek megoldás az SHFS, amely ssh -n keresztül felcsatol távoli file -rendszereket (beállítása egyszerű és kulcs használata esetén biztonságos)
- A gépeket minden esetben védjük tűzfallal, lehetőleg applikációs szintűvel - Szinte minden TCP/IP kapcsolat levédhető valahogyan: - Ftp: SFTP/ Open SSL Ftp/ SCP - Mail: SSL Pop-Imap / SSMTP / végső eset Ssh port fw - Ssh: Csak kulcs használatával – AllowUser direktiva - Web: apache-ssl, Open SSL - VNC: Ultravnc Az adminisztratív portokat soha sem a megszokott helyen használjuk – Security by obscurity
E-mail/SMS - Az e-mail -t és az Sms -t tekintsük nyílt formának, mintha egy üzenőfalra írnánk. - Az e-maileket titkosítsuk GPG/PGP párossal, lehetőleg minden esetben, ezzel is megzavarva a lehallgatót, hiszen a jelentéktelen levelek is kódolás alá esnek így. - Sose írjunk titkosított levélhez valós 'Suject'-et. Hiszen az nincsen titkosítva, a levél törzsébe amely titkosított, oda már írhatunk. - A titkosíott levél törzsébe mindig rakjuk bele az eredeti feladót és címzettet, mert azt biztosan nem lehet menet közben manipulállni. - Az sms ugyan olyan könnyen hamisítható, mint az e-mail.
Adathordozón való tártolás Legyen az pen drive, vagy 1 TB -os merevlemez a kényes adatainkat tarsuk Crypto Image -ben. Multi platformos diszk titkosítási lehetőségek: True Crypt Loop-AES Luks A loop-AES titkosítási és adattárolási módszer kombinálható a gpg - vel, így nagyobb adat biztonság érhető el.
Jelszavak és a papír Az eddig bemutatott technikák alapja, hogy rendelkezünk egy jelszóval vagy kulcssal, amely nyitja az adattárolónkat. A kulcsot is titkosítva érdemes tartani:) Erre jó lehet egy PDA, akár 10-20e ft -os is, csak lehessen rá telepíteni olyan applikációt, amely megfelelően védhető. pl Cryptopad A jelszavakat generáljuk, pl PWGEN -el, és havonta változtassuk. Ha pedig elfelejtettük a jelszó jelszavát, és kizártuk magunkat véglegesen minden rendszerből, akkor kezeltessük magunkat a Pszichiátrián.
Varga Csaba Sándor guska@guska.hu A szabad szoftver filozófia szerint, nem valami ellen, hanem valamiért teszünk. Varga Csaba Sándor guska@guska.hu